أطلقت مؤسسة أمان بطيئة الحركة تنبيهًا عاجلًا، حيث إن منظمة Lazarus التابعة لكوريا الشمالية، واسم مجموعتها الفرعية HexagonalRodent، تشن هجمات على مطوري Web3. وتستخدم أساليب هندسة اجتماعية مثل الوظائف عن بُعد برواتب مرتفعة لإغراء المطورين بتنفيذ كود تقييم المهارات المتضمن خوادم خلفية لبرمجيات خبيثة، بهدف سرقة الأصول المشفرة. ووفقًا لتقرير التحقيق الصادر عن Expel، بلغت الخسائر خلال أول ثلاثة أشهر من عام 2026 مبلغ 12 مليون دولار أمريكي.
أساليب الهجوم: كود تقييم المهارات هو نقطة الدخول الأساسية للعدوى
أولًا يتواصل المهاجمون مع الهدف عبر LinkedIn أو منصات التوظيف، أو ينشئون مواقع شركات مزيفة لنشر معلومات وظائف، وذلك لإقناع المطورين بتشغيل كود خبيث بحجة «تقييم مهارات العمل من المنزل». يتضمن كود التقييم مسارين للعدوى:
هجوم VSCode tasks.json: إدخال الكود الخبيث في ملف tasks.json مع توجيه runOn: folderOpen، بحيث يتعين على المطورين فقط فتح مجلد ملفات الكود في VSCode، ويتم تشغيل البرمجية الخبيثة تلقائيًا.
بوابة خلفية مضمّنة داخل الكود: كود التقييم نفسه يتضمن بوابة خلفية؛ يتم تشغيل العدوى عند تنفيذ الكود، ويقدّم بوابة بديلة للمطورين الذين لا يستخدمون VSCode.
يتضمن البرنامج الخبيث المستخدم: BeaverTail (أداة سرقة معلومات متعددة الوظائف لـ NodeJS)، وOtterCookie (Shell عكسية لـ NodeJS)، وInvisibleFerret (Shell عكسية لـ Python).
أول هجوم على سلسلة الإمداد: اختراق امتداد fast-draft VSX
في 18 مارس 2026، شن HexagonalRodent هجومًا على سلسلة الإمداد ضد امتداد VSCode «fast-draft»، ونشر OtterCookie عبر نشره للامتداد المخترق. أكدت بطيئة الحركة أنه في 9 مارس 2026، أصيب مستخدم يحمل الاسم نفسه لمطوّر امتداد fast-draft بالفعل بـ OtterCookie.
في حال الاشتباه بأن النظام قد تم اختراقه، يمكن استخدام الأوامر التالية للتحقق مما إذا كان متصلًا بخادم C2 معروف (195.201.104[.]53):
MacOS/Linux: netstat -an | grep 195.201.104.53
Windows:netstat -an | findstr 195.201.104.53
سوء استخدام أدوات الذكاء الاصطناعي: تم تأكيد استخدام ChatGPT وCursor بشكل خبيث
يستخدم HexagonalRodent بكثافة ChatGPT وCursor لدعم الهجمات، بما في ذلك إنشاء كود خبيث وبناء مواقع شركات مزيفة. تتمثل العلامة الرئيسية لتحديد كود خبيث مولّد بالذكاء الاصطناعي في الاستخدام الكبير للرموز التعبيرية (وهو أمر نادر للغاية في الكود المكتوب يدويًا).
قامت Cursor بحظر الحسابات وIPs ذات الصلة خلال يوم عمل واحد؛ كما أكدت OpenAI أنها عثرت على استخدام محدود لـ ChatGPT، مشيرة إلى أن المساعدة التي كانت تسعى إليها هذه الحسابات تقع ضمن سيناريوهات الاستخدام الآمن والتجاري المزدوج لحالات شرعية، ولم يتم العثور على نشاط مستمر لتطوير برمجيات خبيثة. وقد تم تأكيد تدفقات الأموال لِما لا يقل عن 13 محفظة مصابة متجهة إلى عناوين إيثروم معروفة مرتبطة بكوريا الشمالية، مع استلام أكثر من 1.1 مليون دولار أمريكي.
الأسئلة الشائعة
كيف يحمي مطورو Web3 أنفسهم من هذا النوع من الهجمات؟
تتضمن تدابير الحماية الأساسية ما يلي: (1) درجة عالية من اليقظة تجاه جهات التوظيف غير المألوفة، لا سيما الفرص التي تطلب إكمال تقييم كود العمل من المنزل؛ (2) فتح مستودعات أكواد غير مألوفة في بيئة معزولة بدل النظام الرئيسي؛ (3) فحص ملف tasks.json في VSCode بانتظام للتأكد من عدم وجود مهام runOn: folderOpen غير مصرح بها؛ (4) استخدام مفاتيح أمان عتادية لحماية المحافظ المشفرة.
كيف يمكنني التأكد مما إذا كان نظامي مصابًا؟
قم بتنفيذ أوامر الفحص السريع: مستخدمو MacOS/Linux يشغلون netstat -an | grep 195.201.104.53، ومستخدمو Windows يشغلون netstat -an | findstr 195.201.104.53. إذا وجدت اتصالًا مستمرًا بخادم C2 معروف، فيجب قطع الاتصال فورًا وإجراء فحص شامل للبرمجيات الخبيثة.
لماذا اختار HexagonalRodent اختيار NodeJS وPython كلغات للبرمجيات الخبيثة؟
عادةً ما يكون مطورو Web3 قد قاموا بالفعل بتثبيت NodeJS وPython على أنظمتهم، وبالتالي يمكن دمج العمليات الخبيثة في أنشطة المطورين العادية دون إثارة إنذارات. هاتان اللغتان ليستا من الأشياء الرئيسية التي تراقبها أنظمة مكافحة البرمجيات الخبيثة التقليدية؛ وبالإضافة إلى استخدام أدوات خلط الأكواد التجارية، يصبح اكتشاف التوقيعات أمرًا بالغ الصعوبة.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
تم اعتقال رئيس طاقم القوات الخاصة العسكرية الأمريكية: استخدم معلومات سرية للازاحة على Polymarket، وتم اعتقال مادورو، محققًا أرباحًا قدرها 400,000 دولار
قامت وزارة العدل الأمريكية في المنطقة الجنوبية من نيويورك بتوجيه اتهامات إلى ضابط في القوات العسكرية الخاصة الأمريكية كبير جنود جانون كين فان دايك، متهمة إياه باستخدام معلومات سرية في المراهنة على نتيجة اعتقال مادورو عبر Polymarket، محققًا أرباحًا قدرها حوالي 409,881 دولارًا أمريكيًا (13 صفقة، من 2025-12-27 إلى 2026-1-26). وتشمل التهم استخدامًا غير قانوني للمعلومات السرية، والاحتيال في تداول السلع، والسرقة للمعلومات غير العامة، والاحتيال عبر التحويلات البنكية، والمعاملات المالية غير القانونية وغيرها. ويُعد هذا أول لائحة اتهام اتحادية يكون محورها هو التحكيم باستخدام معلومات داخلية وسوق تنبؤ، وقد يؤثر على اتجاه التنظيمات المستقبلية.
ChainNewsAbmediaمنذ 17 د
西班牙警方从非法漫画盗版平台查获€40万加密货币,3人被捕
Gate News 信息,4月24日——西班牙阿尔梅里亚警方在突袭该国最大的非法漫画发行平台期间,查获了两只包含约€400,000的加密货币冷钱包。与该行动有关的3名个人被捕,该行动始于2025年年中知识产权权利持有人的投诉
GateNewsمنذ 1 س
قائمة عقوبات مكتب مراقبة الأصول الأجنبية (OFAC) تستهدف عضوًا في مجلس الشيوخ الكمبودي بسبب شبكة احتيال مرتبطة بالعملات المشفرة
عقوبات مكتب مراقبة الأصول الأجنبية التابع لوزارة الخزانة الأمريكية على عضو مجلس الشيوخ الكمبودي بسبب شبكة احتيال مرتبطة بالعملات المشفرة
(OFAC) التابع لوزارة الخزانة الأمريكية، مكتب مراقبة الأصول الأجنبية، فرض عقوبات على عضو مجلس الشيوخ الكمبودي كوـك آن، الذي يُتهم بالتحكم في "مجمّعات احتيال" في جميع أنحاء كمبوديا كانت قد نصبت على الأمريكيين. وقد حدّد مكتب OFAC اسم آن و28 آخر
CryptoFrontierمنذ 2 س
تفرض الولايات المتحدة عقوبات على مسؤولين في كمبوديا ومجمعات احتيال بمليارات الدولارات! تجمّد Tether أكثر من 344 مليون دولار أمريكي من USDT
قامت وزارة الخزانة الأمريكية ووزارة العدل مؤخرًا بتنسيق عمل إنفاذ مشترك ضد عمليات الاحتيال الرائجة المتزايدة في جنوب شرق آسيا المرتبطة بعملات كريبتو والمعروفة باسم «قتل الخنازير» ضمن عمليات الاحتيال التعارفي. أعلنت الجهة الرسمية رسميًا فرض عقوبات على عضو مجلس الشيوخ الكمبودي لوآنغ (Kok An) و28 فردًا وكيانًا آخرين ضمن شبكته الإجرامية، متهمة إياه باستخدام النفوذ السياسي وبنيته التحتية من خلال مجمعات المقامرة التابعة له، لتوفير الحماية لعمليات احتيال واسعة النطاق وعمليات الاتجار بالبشر. ووفقًا للتقديرات، فإن هذه الأنشطة الاحتيالية وحدها أدت إلى خسائر لدى الأمريكيين من العامة بقيمة تصل إلى 10 مليارات دولار سنويًا. وبالتزامن مع عملية الضرب هذه، قامت شركة إصدار العملات المستقرة Rether أيضًا بتجميد أكثر من 344 مليون دولار من الأصول الرقمية محل الاشتباه.
احتيال «قتل الخنازير» عبر الاحتيال العاطفي: خسائر الأمريكيين تتجاوز 10 مليارات دولار في عام واحد
في السنوات الأخيرة، اعتمدت منظمات إجرامية دولية تتمركز في جنوب شرق آسيا بشكل كبير على أساليب الاحتيال المعروفة باسم «قتل الخنازير» (Pig Butchering). يقوم المحتالون عبر وسائل التواصل الاجتماعي أو تطبيقات المراسلة بقضاء عدة أشهر
ChainNewsAbmediaمنذ 2 س
اعتقال جندي في الجيش الأمريكي لاستخدام معلومات مصنفة لوضع رهان بشأن أسر مادورو على Polymarket
رسالة أخبار بوابة، 24 أبريل — اعتقلت وزارة العدل الأمريكية جنديًا نشطًا في الجيش الأمريكي غانون كين فان دايك، 38 عامًا، بتهم استخدام معلومات سرية لوضع رهانات على Polymarket، وهو سوق تنبؤات، بشأن أسر الرئيس الفنزويلي السابق نيكولاس مادورو. شارك فان دايك في التخطيط وتنفيذ العملية العسكرية في يناير التي أدت إلى احتجاز مادورو.
في 3 يناير، أعلن الرئيس دونالد ترامب أن قوات الولايات المتحدة قد أخذت مادورو وزوجته سيليا فلوريس إلى الحجز. وفي اليوم نفسه، راهن حساب على Polymarket بأن مادورو سيكون "خارج" بحلول نهاية الشهر، محققًا أرباحًا قدرها 400,000 دولار. ويقول المدعون إن فان دايك أنشأ حسابه على Polymarket في ديسمبر وبدأ التداول في أسواق متعلقة بفنزويلا ومادورو، رغم أنه كان قد وقع اتفاقيات عدم إفصاح.
قدم فان دايك 13 رهانًا بإجمالي استثمارات تجاوز 33,000 دولار، بما في ذلك رهانات حول ما إذا كان سيتم عزل مادورو بنهاية يناير ومتى ستغزو الولايات المتحدة فنزويلا. ومن هذه الصفقات، حقق أرباحًا تقارب 409,881 دولارًا، ثم حاول لاحقًا إخفاء هويته عبر طلب من Polymarket حذف حسابه.
يواجه فان دايك ثلاث تهم بانتهاك قانون تبادل السلع، وتهمة واحدة بالاحتيال عبر الأسلاك، وتهمة واحدة بإجراء معاملات مالية غير قانونية، مع عقوبة قصوى تبلغ 60 عامًا في السجن. كما قدمت لجنة تداول العقود الآجلة للسلع شكوى مدنية موازية تسعى إلى المصادرة والتعويضات والعقوبات المدنية. وقال رئيس لجنة تداول العقود الآجلة للسلع مايكل سيليغ: "تم تكليف المتهم بمعلومات سرية بشأن عمليات الولايات المتحدة ومع ذلك اتخذ إجراءات تعرض الأمن القومي الأمريكي للخطر".
صرّحت Polymarket بأنها حددت المستخدم الذي يتداول بمعلومات مصنفة، وأحالت القضية إلى وزارة العدل، متعاونة بالكامل مع التحقيق. وقد أثار الاعتقال جهودًا تشريعية للحد من قدرة بعض المسؤولين الحكوميين وحاملي التصاريح على وضع رهانات في أسواق التنبؤ المرتبطة بسياسات الحكومة.
GateNewsمنذ 2 س
